Inep, CGU e ANPD: o falso embate entre LAI e LGPD
Autor
17 de março de 2022, 8h00
Em 18 de fevereiro deste ano, o Instituto Nacional de Estudos e Pesquisas Educacionais (Inep), autarquia federal, suprimiu várias informações cuja divulgação era habitual. Foram removidos do portal as bases de dados de alunos e docentes da educação básica e os microdados das edições passadas do Enem e do Censo Escolar. A medida estaria apoiada nas determinações da Lei Geral de Proteção de Dados [1], o que suscitou questionamento por parte dos integrantes do Fórum de Direito de Acesso a Informações Públicas [2], para quem a proteção de dados não pode ser pretexto para a redução da transparência e do controle social.
No último dia 10, a CGU publicou o Enunciado nº 4/22, por meio do qual afirma que:
"Nos pedidos de acesso à informação e respectivo recursos, as decisões que tratam da publicidade de dados de pessoas naturais devem ser fundamentadas nos arts. 3º e 31 da Lei nº 12.527/2011 (Lei de Acesso à Informação – LAI), vez que:
A LAI, por ser mais específica, é a norma de regência processual e material a ser aplicada no processamento desta espécie de processo administrativo; e
A LAI, a Lei nº 14.129/2021 (Lei de Governo Digital) e a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) são sistematicamente compatíveis entre si e harmonizam os direitos fundamentais do acesso à informação, da intimidade e da proteção aos dados pessoais, não havendo antinomia entre seus dispositivos."
Extrai-se do enunciado acima citado que a CGU não chancela a ideia de alterar o farol a iluminar as decisões relativas à publicidade de dados de pessoas naturais, migrando o olhar guiado pela Lei 12.527/11 (Lei de Acesso à Informação — LAI) para a Lei 13.709/18 (Lei Geral de Proteção de Dados — LGPD), compreendendo que a LAI continua a ser a norma de regência para processos administrativos que versem sobre o tema da transparência, com destaque para os seus artigos 3º e 31. Ao final, o enunciado afasta a eventual alegação de antinomia entre os dispositivos das citadas leis.
Se há ou não relação de causa e efeito entre o enunciado e a decisão do Inep esta articulista não conseguiu apurar, mas em boa hora a CGU reforça o dever de preservar a transparência necessária para acautelar o interesse público, o que não permite concluir que os dados pessoais possam ser publicizados de forma inconsequente e desnecessária, postura desautorizada tanto pela Constituição da República [3] quanto pela própria LAI, anos antes do nascimento da LGPD.
O enunciado da CGU destaca os artigos 3º e 31 da LAI. O primeiro reforça a principiologia que baliza a atuação administrativa e indica como diretrizes gerais do acesso à informação a observância da publicidade como preceito geral e do sigilo como exceção, a divulgação de informações de interesse público, independentemente de solicitações, a utilização de meios de comunicação viabilizados pela tecnologia da informação, o fomento ao desenvolvimento da cultura de transparência na administração pública e o desenvolvimento do controle social da administração pública [4].
O artigo 31, por sua vez, destina especial atenção à informação pessoal, qual seja, a relacionada à pessoa natural identificada ou identificável [5], impondo que o tratamento da informação [6] ocorresse com respeito à intimidade, vida privada, honra e imagem, bem como às liberdades e garantias individuais [7]. Os parágrafos do artigo 31 da LAI preveem a responsabilidade pelo uso indevido das informações e condicionam a divulgação dos dados ou o seu acesso por terceiros à previsão legal ou ao consentimento, este inexigível apenas nos casos arrolados no §3º, entre os quais está a proteção do interesse público e geral preponderante.
Embora não exposto no enunciado, o artigo 6º também elucida o equilíbrio idealizado pela LAI, que já emitira especial comando aos órgãos e entes públicos no sentido de que se assegurasse a proteção da informação sigilosa e da informação pessoal, observada a sua disponibilidade, autenticidade, integridade e eventual restrição de acesso. Portanto, a mesma lei que escanteia o sigilo em benefício da luz reconhece a singularidade e delicadeza da informação pessoal, admitindo inclusive a restrição de acesso [8].
De mais a mais, a ANPD, Autoridade Nacional de Proteção de Dados, diz cumprir aos órgãos e entes públicos analisar de forma mais ampla os riscos e impactos para os titulares dos dados pessoais, bem como divulgar os dados efetivamente necessários para que sejam alcançados os propósitos em causa, realçando a relevância das medidas mitigadoras dos citados riscos. Em seu guia, a ANPD recorda a decisão do STF na Suspensão de Liminar nº 623/DF e a minimização dos riscos com a não informação do CPF dos servidores públicos, ainda que divulgados os valores percebidos [9].
Não deixa de ser curioso, todavia, que enquanto a CGU acentua a relevância da LAI, a ANPD em seu guia orientativo para o Poder Público [10] destaca que a divulgação pública de dados pessoais deve ser realizada em conformidade com a LGPD, mais especificamente sublinhando a proteção integral, a autodeterminação informativa e o respeito à privacidade dos titulares.
Afinal, estão a ANPD e a CGU dizendo a mesma coisa, ainda que realcem cada qual uma determinada lei?
Inspirada no Regulamento Geral de Proteção de Dados europeu, a LGPD mira a tutela das informações pessoais, repudiando o tratamento despropositado e o uso inadequado [11].
Lado outro, o direito à informação é um direito fundamental. Neste sentido, tanto quanto se homenageia a pessoa natural via Lei Geral de Proteção de Dados, igualmente a ela se volta quando se impõe o dever de disponibilizar a tempo e a modo as informações de natureza pública. Daí se concluir que o elemento que as unifica é que em ambos os casos são garantidos direitos do indivíduo, ainda que o foco se bifurque. Enquanto a Lei 12.527/11 vislumbra o indivíduo em sua faceta política, entendendo como crucial ao exercício da cidadania e ao direito ao bom governo o disponibilizar qualitativo e tempestivo de informações, a LGPD o considera em sua feição mais íntima, mais humana, já que se ocupa de protegê-lo de abusos que os diversos atores na sociedade — não apenas o Estado — possam perpetrar.
A condição imposta pela LGPD para o tratamento de dados pessoais pelo Poder Público está atrelada à sua finalidade pública e à persecução do interesse público, com o objetivo de executar as competências legais ou de cumprir as atribuições legais do serviço público [12]. O princípio da finalidade já aflorava do artigo 6º, assim como o da necessidade, proporcionalidade, transparência e livre acesso.
O tratamento do dado pessoal, o que envolve também sua divulgação, só pode ocorrer se relacionado a uma finalidade, que não pode ser genérica. O compartilhamento dos dados para outras finalidades também está proibido. Nesta ótica, a LGPD confere maior segurança para os dados cuja publicidade se tornou obrigatória pela LAI, pois não havia trava para a utilização em outras circunstâncias [13].
O artigo 23, inciso I, da LGPD, determina ainda o encargo de informar as hipóteses em que, no exercício de suas competências, as pessoas jurídicas de direito público referidas no parágrafo único do artigo 1º da Lei nº 12.527/11 [14] realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos. Há cristalina relação com o que já ditava a LAI, portanto.
E quais seriam as hipóteses legais? O tratamento de dados pessoais é ilícito se não apoiado em uma das hipóteses do artigo 7º ou, no caso de dados sensíveis, do artigo 11, ambos da LGPD.
Na toada da LAI, o inciso I do artigo 23 da LGPD está a exigir mais um exercício proativo do Poder Público: veicular, preferencialmente em seus sítios eletrônicos, as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.
Logo, aqui ou ali, percebem-se pontos de contato, como se antes de antagonizarem, as leis se reforçassem e se completassem [15]. E, embora a CGU destaque a LAI enquanto a ANPD sublinhe a LGPD, a divulgação de dados pessoais há de observar as duas leis, porque antes de um cisma, há um amálgama entre elas.
[3] Mesmo antes da Emenda Constitucional nº 115, que incluiu a proteção de dados pessoais entre os direitos e garantias fundamentais, o artigo 5º já contava com o inciso X, que menciona que "são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação".
[4] Artigo 3º — Os procedimentos previstos nesta Lei destinam-se a assegurar o direito fundamental de acesso à informação e devem ser executados em conformidade com os princípios básicos da administração pública e com as seguintes diretrizes:
I – observância da publicidade como preceito geral e do sigilo como exceção;
II – divulgação de informações de interesse público, independentemente de solicitações;
III – utilização de meios de comunicação viabilizados pela tecnologia da informação;
IV – fomento ao desenvolvimento da cultura de transparência na administração pública;
V – desenvolvimento do controle social da administração pública.
[5] Artigo 4º, IV – informação pessoal: aquela relacionada à pessoa natural identificada ou identificável;
[6] Artigo 4º, V – tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.
[7] Artigo 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.
§ 1º. As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:
I – terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e
II – poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem.
§ 2º Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido.
§ 3º O consentimento referido no inciso II do § 1º não será exigido quando as informações forem necessárias:
I – à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico;
II – à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem;
III – ao cumprimento de ordem judicial;
IV – à defesa de direitos humanos; ou
V – à proteção do interesse público e geral preponderante.
§ 4º. A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos históricos de maior relevância.
§ 5º Regulamento disporá sobre os procedimentos para tratamento de informação pessoal.
[8] Artigo 6º – Cabe aos órgãos e entidades do poder público, observadas as normas e procedimentos específicos aplicáveis, assegurar a:
I – gestão transparente da informação, propiciando amplo acesso a ela e sua divulgação;
II – proteção da informação, garantindo-se sua disponibilidade, autenticidade e integridade; e
III – proteção da informação sigilosa e da informação pessoal, observada a sua disponibilidade, autenticidade, integridade e eventual restrição de acesso.
[9] No mesmo ritmo, o CNJ já havia definido na Resolução 269 que, em todos os concursos públicos do Poder Judiciário, se divulgam apenas os nomes completos e números de inscrição.
[10] https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf
[11] A Lei 13.709/18 opera de forma boomerang: é importante desdobramento de garantias já previstas na Constituição de 1988, com novos contornos em razão da evolução tecnológica, mas também impulsionou o advento da EC nº 115.
[12] Artigo 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do artigo 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
II – (VETADO); e
III – seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do artigo 39 desta Lei;
[13] artigo 5º, §4º, da LGPD.
[14] Artigo 1º. Esta Lei dispõe sobre os procedimentos a serem observados pela União, estados, Distrito Federal e municípios, com o fim de garantir o acesso a informações previsto no inciso XXXIII do artigo 5º , no inciso II do § 3º do artigo 37 e no § 2º do artigo 216 da Constituição Federal.
Parágrafo único. Subordinam-se ao regime desta Lei:
I – os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público;
II – as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, estados, Distrito Federal e municípios.
[15] Nesse sentido, conferir: FORTINI, Cristiana; AMARAL, Greycielle; CAVALCANTI, Caio Mário Lana. PGPD x LAI: sintonia ou antagonismo? In: PIRONTI, Rodrigo (coord.). Lei Geral de Proteção de Dados no Setor Público. Belo Horizonte: Fórum, 2021, p. 101 a 122.
Encontrou um erro? Avise nossa equipe!